こんにちは、霜月です。
4月も個人的に気になったセキュリティニュースをまとめました!
よかったらどうぞ〜m(o・ω・o)m
脆弱性
PaloaltoのPAN-OSにCVSS10.0の深刻な脆弱性
CVE-2024-3400です。なかなかホットでした。
政府・公的機関
金融庁がサイバーセキュリティセルフアセスメントの集計結果を公開
2022年度が初の試みで、地域金融機関等が対象でした。2023年度は証券、保険会社も対象となりました。
経産省が企業のサイバー対策を格付けする制度を公表
2025年度を目途に、サイバーセキュリティに関わる対策を5段階で格付けするとのこと。
CISA、FBI、ODNIらが選挙での影響力工作に関するガイドラインを公表
今年の11月には米国で大統領選挙がありますが、当然選挙は外国にも影響が出ます。過去にも、米国大統領選挙時に偽情報が出回ったり、最近ではSNSやAIを使った工作事例がありました。
脅威・攻撃者情報
Microsoftが脅威アクターの命名規則とリストを公開
昨年?MSは天気に基づいて脅威アクターを名付けることにしましたが、アクターの名前がベンダーによって異なるので正直ややこしい(小声)。しかも前は元素名だったような。一覧になっているのでこの表は助かる!
Metaがなりすまし広告を放置
日本を代表して前澤さんが闘ってました。オンライン詐欺の温床だとして、近年は遂に深刻化してきましたね。「日本は舐められている!」
調査・報告書
Ciscoが企業のセキュリティ成熟度指標調査2024を公開
サイバーセキュリティに柔軟に対応可能な、成熟した態勢が整備された日本組織は、わずか2%。
「シスコ 2024年度版サイバーセキュリティ成熟度指標」調査を発表 - The Cisco News Network - APJC
デジタルアーツが国内過去3年分のインシデント調査レポートを公開
2022年と比較して2023年のマルウェア感染数が減ったのは、Emotetが終わったから。
KPMGおよびPwCがセキュリティ・クリアランス制度について解説
最近、解説記事を見る機会が増えてきたような?
https://kpmg.com/jp/ja/home/insights/2024/04/security-clearance.html
OffSecがペンテスターの報告書作成の重要性に関する記事を公開
これは超納得の内容。侵入の能力があることと、それを的確に伝える能力は別。更に言うと、「攻撃手法には詳しいけど、防御は何も知らない」のはペンテスターとしてもっての外。
メールフィルタリングの設定調査に関する論文
メールフィルタリングサービスを提供する、主要15社の利用ドメインを比較したようです。トレンドマイクロとProofpointの設定ミス率が高かったとのこと。ベンダーは適切な設定方法を説明しているか?がポイントです。
https://sumanthvrao.github.io/papers/rao-www-2024.pdf
SOPHOSが安価で粗悪なランサムウェアの解説記事を公開
洗練されていないランサムウェア「Junk gun」が出回っているらしく、駆け出しの攻撃者を助長しているとのこと。安いものだと50ドル、中央値は375ドルとのこと。興味深いのはC++やC#で書かれているものが多いこと(なんというか、時代を感じる?)。
PwCがNIST CSF2.0の日本語訳を公開
日本語訳もあると助かりますね。
こんな感じでしょうか?最近はAIネタで世間が賑わっているなと感じています。各国の政府機関でも動きがありますし、国内の企業でもAI活用の検討が活発な印象です。
プライベートでは、アマプラでWinnyを見たり、映画館にオッペンハイマー(想像通りのヘビーさ)や名探偵コナン(ネタバレ厳禁!)を見に行きました⭐︎
4月のニュースは以上となりますm(o・ω・o)m
最後まで読んでくださりありがとうございました!!